隐私条款评审提升信息保护水平

四部门评审多款网络产品服务的隐私条款。供图/CFP

　　为确保《网络安全法》中个人信息保护相关要求有效实施，提升网络运营者个人信息保护水平，中央网信办、工信部、公安部、国家标准委等四部门日前联合召开“个人信息保护提升行动”启动暨专家工作组成立会议，启动隐私条款专项工作，首批将对微信、淘宝等十款网络产品和服务的隐私条款进行评审。

　　隐私条款是用户了解产品或服务关于个人信息收集、使用等行为的窗口，是用户行使法律赋予的选择同意权利的首要渠道。网络运营者应按照法律要求，规范隐私条款的内容、展现形式和位置，以及通过隐私条款取得用户同意。同时，也有人对开展隐私条款专项工作持有疑义，他们认为，一方面，隐私政策篇幅太长，用户根本不会去读；另一方面，隐私条款专项工作针对的是个人信息收集环节，但在大数据、万物互联时代，管控个人信息收集根本不可能。随着隐私条款专项工作的逐步铺开，笔者认为，隐私条款评审有助于提升个人信息保护水平，不应放弃对个人信息收集环节的管控。

　　隐私条款专项工作能提升告知效果

　　隐私条款最重要的目的是对用户进行告知。而告知，是我国现行法律的明确要求。无论是2012年《全国人大常委会关于加强网络信息保护的决定》、2013年《消费者权益保护法》，还是2017年6月施行的《网络安全法》，都坚持将个人同意作为个人信息控制者得以收集、使用个人信息的主要正当事由。“同意”必须是用户真实意愿的表达，为了确保这一点，告知成为非常必要的步骤。

　　有学者曾提出，“告知-同意”这个框架，一是隐私政策冗长、晦涩，二是用户迫切想使用产品或服务，可能会直接点“同意”或“下一步”。但既然个人信息能够识别到具体个人，能够反映个人的思想、观点、偏好、行动等，个人就会关心自己的个人信息被如何收集、使用。那么，现在个人之所以表现出“漠不关心”，很大原因还是在于隐私政策的内容展现没有做好。

　　事实上，隐私条款专项工作对如何有效提升告知的效果作了详尽的考虑：

　　一是隐私政策，其作用在于完整、清晰地描述产品和服务提供者收集、保存、使用、对外提供个人信息的实践。虽然这个文本往往因为很长而被诟病，但是隐私政策的读者并非只有用户，还包括监管部门、消费者保护团体等。总的来说，隐私条款是网络运营者对其所开展的收集、保存、使用、共享、转让等个人信息处理行为的公开声明，既是对用户的法律承诺，也是网络运营者开展执法和社会监督的重要依据。

　　二是增强式告知，即注册账号、安装程序、首次使用时向用户展示的关于个人信息的提示。其并非隐私政策文本，但浓缩了隐私政策的核心内容，或者突出展示了用户最关心的信息，例如收集了哪些个人信息，这些信息将会提供给谁等。很多时候，在增强式告知中包含了指向完整的隐私政策文本的链接。这样做的好处是，即便用户没有阅读隐私政策文本，但是通过增强式告知，能够了解到隐私政策的关键核心内容，了解到风险较高的个人信息处理行为。

　　三是即时提示，即在用户使用过程中即时展示的关于个人信息处理行为的提示。其往往用于针对个人敏感信息的二次授权前的告知。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视待遇等个人信息。通常来说，个人隐私信息属于个人敏感信息。那么，这些个人敏感信息在收集、使用，或者向他人提供（包括共享、转让、公开披露）前，需要再一次提醒用户，因为这样的信息对用户有着重大意义。从用户角度出发，对个人敏感信息的处理行为，不应该仅仅埋没于隐私政策的文字中，而是应该突出、凸显出来，征得用户的同意。这是“以用户为中心”理念的很好的践行渠道。

　　除了这三种形式，还有平台式的App。国外更多的是单一功能类的App，我国平台式的App非常普遍，必然要集合很多其他功能。这些功能可能会遵守同一份隐私政策，也可能各自有特殊规定。因此，在用户点开这些附加功能的时候，产品和服务的提供者应提供一次单独告知，有针对性地告知用户，这个附加功能将对个人信息做出哪些与统一的隐私政策不同的处理。

　　实际上告知并不仅仅只能通过长长的隐私政策文本来实现，现实中可以有多种多样的路径。如果企业真的秉持“以用户为中心”的理念，应该再多发挥一点创造性，让普通用户也能真切地感受到产品和服务的真诚与温度。

　　不应放弃对个人信息收集环节的管控

　　顺应时代潮流，放弃对收集环节的管控，这是典型的技术逻辑至上、增长至上的体现。持这种观点的学者，往往认为对人工智能的发展，应该通过伦理、法律的力量对其加以驯化。实际上，这个争论不是今天才有的。世界经济合作与发展组织（OECD）在1980年发布过“隐私准则”指南，在进入2000年后，OECD希望根据时代、技术发展的特点来更新这个指南。OECD召集的很多专家提出，1980年的指南对收集环节有要求，但是否适合将来的发展，需要重新评估。在争论后专家们达成了共识——个人信息的收集需要管控。因此，在2013年发布的更新后的“隐私准则”中，将“收集限制原则”放在了个人信息保护八大原则之首。

　　人们通常认为，美国对个人信息保护比较宽松，因此互联网在美国发展迅速；欧洲对个人信息保护太过于严苛，因此欧洲基本没有像样的互联网企业。但现实情况的复杂程度远远超过了上述简单的对比。以美国联邦通信委员会（FCC）制定的“宽带服务提供商隐私保护规则”为例，在这个规则中确立了一个框架：个人敏感信息应该采用选择同意（opt-in）的模式，个人非敏感信息可以采用选择退出（opt-out）的模式；无论是个人敏感信息还是非敏感信息，都需要明确告知，而且都要向用户提供撤回同意的权利。可见，FCC制定的框架正是对收集环节的加强控制。

　　但这个规则在前不久被美国国会推翻，很重要的原因就是因为FCC针对宽带服务提供商的框架，实际上比联邦贸易委员会（FTC）针对非宽带服务提供商（如Google、 Facebook）的隐私保护框架还要严格，因此，会造成对宽带服务提供商在竞争方面的歧视。但是，随后美国至少有十个州试图在州这个层面通过立法，恢复FCC建立的框架。

　　日前，美国内华达州还通过立法，正式要求网站运营者和网络服务提供者在其网站上提供隐私政策，并对隐私政策的内容提出具体的要求。该法案将于2017年10月1日开始生效。

　　综上所述，“放弃个人信息收集环节转而管控使用环节”这一观点的最大市场是在美国，但通过对新闻和立法发展简单地跟踪就能发现，即便是在美国，这样的观点也没有被立法者和监管者全盘接受。（洪延青：北京大学互联网发展研究中心）